Što je DDOS napad?

DDOS je skraćenica za Distributed Denial-Of-Service. To je vrsta kibernetičkog kriminala u kojem jedna ili više strana pokušava prekinuti promet poslužitelja ili web stranice. Kako bi bili učinkoviti, ne koriste samo jedno računalo za napad, već često čitavu njihovu mrežu.

Ovo ipak nisu samo strojevi napadača – postoje vrste zlonamjernog softvera i virusa koji mogu utjecati na računalo normalnog korisnika i pretvoriti ga u dio napada. Čak ni IoT uređaji nisu sigurni – ako imate pametni uređaj u svom domu, on bi se teoretski mogao koristiti za takav napad.

Kako radi?

Najjednostavniji način da se objasni DDOS napad je usporedba s prometnim gužvama. Normalni promet je prekinut jer se deseci (ili stotine, tisuće itd.) neočekivanih automobila spajaju na glavnu cestu ne puštajući druge automobile.

Zastoj koji se pojavljuje sprječava normalne vozače da dođu do svog cilja - u DDOS događaju, to bi bio poslužitelj ili web stranica koju traže.

Postoje različite vrste napada koji ciljaju na različite elemente normalne komunikacije klijent-poslužitelj.

Napadi na aplikacijskom sloju pokušavaju iscrpiti resurse cilja prisiljavajući ga da stalno učitava datoteke ili upite baze podataka – to usporava web-mjesto i može, u ekstremnim slučajevima, uzrokovati probleme s poslužiteljem pregrijavanjem ili povećanjem potrošnje energije. Od ovih se napada teško obraniti jer ih je teško uočiti – nije lako reći je li do porasta upotrebe došlo zbog povećanja stvarnog prometa ili zlonamjernog napada.

HTTP Flood napadi izvode se u osnovi osvježavanjem stranice preglednika iznova i iznova – osim milijunima puta. Ova poplava zahtjeva poslužitelju često će rezultirati time da on bude preopterećen i da više neće odgovarati na (prave) zahtjeve. Obrane uključuju posjedovanje rezervnih poslužitelja i dovoljno kapaciteta za rukovanje prekomjernim zahtjevima. Primjerice, takav napad gotovo sigurno ne bi uspio protiv Facebooka jer je njihova infrastruktura toliko jaka da može podnijeti takve napade.

Napadi protokola pokušavaju iscrpiti poslužitelj konzumirajući sav kapacitet koji imaju stvari poput web aplikacija – dakle ponavljanjem zahtjeva elementu web-mjesta ili usluge. Na taj način web aplikacija prestaje reagirati. Često se koriste filtri koji blokiraju ponovljene zahtjeve s istih IP adresa kako bi se spriječili napadi i održavala usluga za normalne korisnike.

SYN Flood napadi se u suštini izvode tako što se više puta traži od poslužitelja da dohvati element, a zatim se ne potvrđuje njegov prijem. To znači da poslužitelj drži elemente i čeka potvrdu koja nikada ne dolazi – dok na kraju ne može više držati i ne počne ih ispuštati kako bi pokupila još.

Volumetrijski napadi pokušavaju umjetno stvoriti zagušenje posebno zauzimajući svu propusnost koju poslužitelj ima. Ovo je slično HTTP Flood napadima, osim što se umjesto ponovljenih zahtjeva, podaci šalju poslužitelju, čime je prezauzet da bi odgovorio na normalan promet. Botneti se obično koriste za izvođenje ovih napada – oni također često koriste DNS pojačanje.

Savjet: DNS pojačanje radi poput megafona – manji zahtjev ili paket podataka predstavljen je kao mnogo veći nego što jest. To bi mogao biti napadač koji traži sve što poslužitelj može ponuditi, a zatim traži od njega da ponovi sve što je napadač tražio – relativno mali i jednostavan zahtjev na kraju oduzima puno resursa.

Kako se obraniti od DDOS napada?

Prvi korak u suočavanju s tim napadima je osigurati da se oni stvarno događaju. Uočiti ih nije uvijek lako, jer skokovi u prometu mogu biti normalno ponašanje zbog vremenskih zona, vijesti i još mnogo toga. Kako bi napadi uspjeli, DDOS napadači pokušavaju što je više moguće sakriti svoje ponašanje u normalnom prometu.

Ostale rutine za ublažavanje DDOS napada su crne rupe, ograničavanje brzine i vatrozidi. Crne rupe su prilično ekstremna mjera – one ne pokušavaju odvojiti pravi promet od napada, već radije preusmjeravaju svaki zahtjev s poslužitelja i zatim ga odbacuju. To se može učiniti u pripremi očekivanog napada, na primjer.

Ograničenje brzine je malo manje grubo za korisnike – postavlja umjetno ograničenje koliko će zahtjeva poslužitelj prihvatiti. Ovo ograničenje je dovoljno da prođe normalan promet, ali previše zahtjeva se automatski preusmjerava i odbacuje – na taj način poslužitelj ne može biti preopterećen. To je također učinkovit način za zaustavljanje pokušaja provale lozinke brute force – nakon, recimo, pet pokušaja, pokušaj IP adrese jednostavno je zaključan.

Vatrozidi nisu korisni samo za zaštitu vašeg računala, već i na strani poslužitelja izvan web prometa. Vatrozidi za web aplikacije posebno se postavljaju između interneta i poslužitelja – štite od nekoliko različitih vrsta napada. Dobri vatrozidovi također mogu brzo postaviti prilagođene odgovore na napade kako se dogode.

Savjet: ako želite zaštititi svoju web-lokaciju ili poslužitelj od neke vrste DDOS napada, trebat će vam niz različitih rješenja (najvjerojatnije uključujući vatrozid). Najbolji način da to učinite bio bi konzultirati konzultanta za kibernetičku sigurnost i zamoliti ga da izradi prilagođeni plan koji odgovara vašim potrebama. Ne postoji jednoznačno rješenje!